GCPのVMインスタンスにCertbotでワイルドカードSSL証明書を取得しnginx-proxyで利用する - Qiita
背景 1つのVMインスタンス内に複数のWEBアプリケーションがデプロイされている状況で、これを docker-compose で構築しております。また、専用ドメインを取得し jwilder/nginx-proxy(Dockerイメージ)を使ってサブドメインを分けてそれぞれのアプリケーションにリクエストを転送しております。 今までは jrcs/letsencrypt-nginx-proxy-companion というDockerイメージを利用して、そのDockerコンテナ内で Letsencrypt のSSL証明書を取得していました。 しかし、各WEBアプリケーション(Dockerコンテナ、サブドメ)ごとにSSL証明書を発行していたため、Letsencryptの制限に引っかかってしまいました。 対策として、jrcs/letsencrypt-nginx-proxy-companion の利用を
理解してるつもりの SSL/TLS でも、もっと理解したら面白かった話 · けんごのお屋敷
apache や nginx の設定をしたことがあれば以下の様な行を見たことがある人も多いのではないでしょうか。(※ 下記は nginx の設定。apache の場合は SSLCipherSuite です。) ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5; これが暗号スイートを指定している箇所です。そしてこの部分、わけのわからない文字列の羅列なのですごく取っつきにくくて何を指定したらいいかわからないので、コピペしてしまう人も多いんじゃないでしょうか。かくいう私も数年前に趣味で TLS 対応の Web サービスを作った時はコピペで済ませていました。この暗号スイートは、以下のような OpenSSL のコマンドを使って対応している一覧を見ることができます。 $ openssl ciphers -v AES128-SH
Apache (mod_ssl) の SSLCipherSuite の設定パラメータで有効な暗号化方式と強度を確認する - 元RX-7乗りの適当な日々
※ このエントリは、はてなグループ終了に伴う、サブブログからの引越エントリ(2013/03)です。 ※ 情報が古い可能性もありますので、ご留意ください。 当然ですが、openssl コマンドを使う。 んですが、Apache が稼働しているサーバの openssl ライブラリに依存しているので、チェックしたい Apache が稼働しているサーバで確認しましょう。 例えば、 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5Apache で、↑のように設定されていたとすると、、、 $ openssl ciphers -v 'HIGH:MEDIUM:!aNULL:!MD5' DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1 DHE-DSS-AES256-SHA SSLv3 Kx=DH Au=DSS E
ApacheでOCSP Staplingを有効にしてみた
Apache では設定を二行加えるだけで OCSP Stapling を有効にできた。 OCSP stapling を有効にする Apache の設定 OCSP stapling が有効か確認 HTTPS によるアクセスでは、通信を暗号化するためにサイトの証明書が必要です。 この証明書には有効期間が有りますが、有効期間内であっても証明書が失効している可能性が有ります。そのため証明書が失効していないか確認する必要が有ります。 証明書が有効か確認するには、CRL と OCSP という二種類が有ります(注1)。この二種類の方法の内、現在はレスポンスのが速いという利点(注2)から主に OCSP が使用されています。 ただし OCSP にも次のような問題点が有ります(注3)。 OCSP 応答が得られない場合にサーバ証明書の失効検証を正しく行わないまま SSL 通信を許可してしまう可能性がある。 OC
SSL/TLSサーバ証明書、コードサイニング証明書 | 国内最安値DigiCert(デジサート)正規代理店
OCSP StaplingでOCSP情報をサーバー上にキャッシュし、サーバー証明書情報と共にブラウザに提供することができます。 オンライン証明書状態プロトコル:OCSPとは オンライン証明書状態プロトコル:OCSP (Online Certificate Status Protocol) は、CRLプロトコルに代わりSSLサーバ証明書の失効をチェックする、現在主流のプロトコルです。 CRLもOCSPも証明書が失効していないかどうかを確認するために使用されます。 CRLプロトコルでは、証明書の発行数の増加とともに潜在的にサイズが増加する「SSL証明書の失効情報ファイル」をダウンロードします。このファイルには、認証局ごとのすべての失効証明書のシリアル番号と失効日が記載されています。 CRLプロトコルの問題点は、証明書が失効していないことを確認するのに時間がかかり、結果的にSSLネゴシエーション
SSLの暗号スイート - Qiita
はじめに 最近ではGoogle及び各ブラウザがHTTPSを推奨しています。WebサイトをHTTPSで運用している場合、SSLの暗号スイートの設定が欠かせません。しかし、下手に設定するとせっかくHTTPSを利用したのに肝心の安全性が台無しになります。ここでは、そのSSLの暗号スイートの指定方法についてまとめます。 基本的な書き方 暗号スイートはA:B:C:・・・のように、各スイートをコロンで区切って書きます。A,B,C,・・・はそれぞれ次のようにして指定します。 暗号名単体(例: AES・AESGCM・ECDSA・ECDHE・RSAなど) その暗号を使用する全ての暗号スイートをリストの末尾に追加します。強固なものから脆弱なものまで、該当するなら全て追加されます。 例: AESを使用する暗号スイートの末尾に3DESを使用する暗号スイートを追加 $ openssl ciphers -v 'AES
OpenSSL の Cipher 周りのメモ | iret.media
どうも、cloudapck の かっぱ(@inokara)です。 はじめに OpenSSL の Cipher 周りについて調べたのでちょいメモ 参考 UNIXの部屋 コマンド検索: openssl ウェブサーバの暗号アルゴリズムの選び方 OpenSSL: Cipher Selection ウェブサーバーの暗号アルゴリズムの選び方 ウェブサーバの暗号アルゴリズムの選び方の一章をまとめました。 https のウェブサイトが表示されるまで ブラウザからサーバーに https のリクエスト ブラウザとサーバー間で使用する暗号化アルゴリズムを決定 サーバーからブラウザに SSL サーバー証明書と公開かぎを送付 ブラウザからプリマスターシークレットを送付してブラウザとサーバー間で共通鍵を生成 ブラウザとサーバーは共通鍵を用いてコンテンツを暗号化して送受信 使用する暗号化アルゴリズムの決定メカニズム ク
ApacheのTLS設定を2020年向けに更新する|TechRacho by BPS株式会社
BPSの福岡拠点として一緒にお仕事をさせていただいています、株式会社ウイングドアのモリヤマです。 今回のテーマはTLS対応(触れるのはHTTPS化の設定に関するお話)です! ネットワーク/インフラエンジニアの方々の領域に、ちょっとだけ学習の手を伸ばしてみました。 本記事はTLSへの理解度が下記の様な方々が対象です❗️ とりあえず通信を暗号化するやつって事は知ってる SSL/TLS対応は行った事あるが、詳しく考えたことがない セキュリティ関連にちょっとでも強くなりたい意志のある方 背景 ずいぶん前にAmazonLinux2で構築したサーバー(趣味関連ブログ用)がふと気になり、 SSL/TLSの設定ってデフォルトのままいじってないなーどうなってんだろう🤔 そして軽い気持ちでQualys SSL Labs SSL Server Test で脆弱性スキャンしたのがきっかけでした。 結果は『B』所
GCP HTTPS ロードバランサ用のセルフマネージド SSL 証明書の更新方法 - 本日も乙
本記事は Google Cloud Platform Advent Calendar 2020 の 12日目です。 GCP にはマネージドの SSL 証明書が HTTPS ロードバランサでサポートされています。 blog.jicoman.info マネージドであれば SSL 証明書の管理や更新を GCP でやってくれるので大変便利ですが、要件によってはセルフマネージド(自分で SSL 証明書を購入して更新する)が必要になる場合があります。例えば以下の場合です。 内部 HTTPS ロードバランサで SSL 証明書を使いたい場合 ワイルドカード SSL 証明書を使いたい場合 組織認証(OV)、拡張認証(EV)証明書を使いたい場合 GCP でセルフマネージド SSL 証明書を更新するのが意外と手間だったのでその手順についてまとめました。今回はワイルドカード SSL 証明書を発行して、外部 HTT
サーバーのSSL/TLS設定のツボ - Internet Week 2014 セッションS14
Internet Week 2014 セッションS14 サーバーのSSL/TLS設定のツボ (配布資料) 2014年11月20日(木) 13:45-14:15 於:富士ソフトアキバプラザ 漆嶌 賢二 本文中の登録商標および商標はそれぞれの所有者に帰属します。 富士ゼロックス株式会社 SkyDeskサービスセンター 漆嶌賢二 © 2014 Fuji Xerox Co., Ltd. All rights reserved. © 2014 Fuji Xerox Co., Ltd. All rights reserved. 1 時期 問題・事件 対策 2005.11 OpenSSL SSLv2バージョンロールバック アップデート 2009.01 RapidSSL MD5衝突偽造中間CA アップデートやPinning 2009.07 NULL終端による証明書ホスト名一致不備 アップデートやPinni
ざっくりSSL/TLS
# ざっくりSSL/TLS 2018/02/05 セキュリティ 最近おしごとがインフラ屋さんではなくセキュリティ屋さん的な様相を帯びてきました。その中でも、暗号技術について「これはつかっちゃだめ、これを使いなさい」程度のことは言えるけど、それがなぜなのかはあんまり自信を持って言えなかったのが昨年末くらいの悩みでした。ちょっと勉強したのでまとめます。間違いが多々ありそうなので随時更新予定。 # SSL/TLSとは Secure Sockets LayerないしはTransport Layer Security。トランスポート層とアプリケーション層の狭間のプレゼンテーション層に存在する暗号化プロトコル。狭間なので既存のTCP/IPプロトコルスタックの上下を変更しなくていいのが強み。既存のAPの通信の暗号化も比較的簡単で、FW制御もしやすい。そのかわり、より低階層で暗号化を行うプロトコル、例えば
サーバーが設定しているSSL暗号を確認したい時 - Qiita
突然ですが、SSLの暗号の設定を諸事情により変更する事があると思います。 例えば、2015/2 RFC7456で、RC4が禁止となった等 サーバーのSSLの暗号の設定変更を行った後、外部からの確認方法に迷っていたのを思い出したので、備忘録がてら。 先に設定方法も記載しておくので、確認方法のみで良い場合は、確認方法の項へ サーバー側の設定 設定に関しては、例として、RC4を外していく事を想定して記載しています。 ELBを利用している場合 AWSコンソールから以下のように辿り、RC4を利用しないポリシーを選択するか、カスタムポリシーからRC4のチェックを外す EC2 -> Load Balancers -> 変更したいELB -> Listenersタブ -> Cipherの項にあるChange Policyの変更 Policyの変更 Predefined Security Policyの場合
SSL証明書の失効・無効化とは? | さくらのSSL
SSL証明書の失効・無効化とは? SSL証明書の失効と聞いて、まず思い浮かべるのはSSL証明書の「有効期限切れ」という方が多いのではないでしょうか?しかしながら、有効期間内でもSSL証明書が突然使えなくなることがあります。今回はSSL証明書の失効・無効化についてご紹介します。 失効した場合どうなるのか? SSLサーバー証明書(以下、SSL証明書)は一定の有効期間が設けられています。有効期間が過ぎたSSL証明書を利用し続けた場合、安全ではないSSL証明書と見なされてサイトにアクセスしてもエラーが表示されます。一般的には有効期間終了による失効・無効化と言われており、英語ではexpired(有効期限切れ)、invalid(無効な)などと表現されます。 Chromeブラウザで有効期限切れのサイトにアクセスした場合、上記の画面が表示されます。 Firefoxブラウザでアクセスした場合は上記の画面が表
Check Website Security | DigiCert SSLTools
Check SSL Certificate installation and scan for vulnerabilities like DROWN, FREAK, Logjam, POODLE and Heartbleed.
httpdの設定(ssl.conf)
httpdの設定(ssl.conf) [サーバの実験室 Slackware] 作成 : 2003/11/02 "サーバの実験室"の検索 SSL の設定 SSL の設定は httpd.conf に書いてもよいが、別のファイルに SSL 関連のディレクティブをまとめて記述し、httpd.conf から Include ディレクティブを使用してファイルを読み込むこともできる。 Include conf/ssl.conf デフォルトの ssl.conf に記述されているディレクティブについて、順に見ていく。 (重複するものは省略) デフォルトの ssl.conf <IfDefine> 〜 </IfDefine> [core モジュール] httpd を起動するとき -D でパラメータが指定されていれば、<IfDefine> と </IfDefine> で囲まれたディレクティブを有効にする。 次の例
CentOS7.2 64bit OpenSSLを使用して自己認証局で署名したSSLクライアント証明書を作成 | kakiro-web カキローウェブ
外部に公開しているWebサイト等でアクセス制限を行いたい場合、ユーザーIDとパスワードの入力による認証や、ファイアウォールを使用してアクセス元のIPアドレスによる制限を行うこともできますが、SSLクライアント証明書を使用することで、特定の証明書を所有する端末からのアクセスのみを許可するように制限することができます。 ここでは、CentOS7.2の標準リポジトリからインストールできるOpenSSL1.0.1eを使用して、自己認証局で署名したSSLクライアント証明書を作成する方法を、以下に示します。 ※当サイトのSSLサーバー証明書の作成に関するページでも、SSLについて記載しています。CentOS7 64bit OpenSSLを使用して秘密鍵、CSRを作成し、自己署名のSSLサーバー証明書を作成のページ、CentOS7 64bit OpenSSLを使用して秘密鍵と自己署名のSSLサーバー証明
オレオレ認証局でSSLクライアント認証しようとしたら、色々ハマったから手順をまとめた - 死ぬまでの暇潰し
表題の通りです。 以前、自前で認証局たててSSL環境作ってクライアント認証しようとしました。 情報はググれば結構見つかって、それらを参照しながら 特に詰まる事無く各証明書作成を完了したんですが、 いざ導入しようとしたら、いろんなエラーに遭遇して上手くいかず、 試行錯誤の末、環境構築に成功し、現在は上手く動作しています。 その頃はブログも書いていなくて、情報もまとめてなかったんですが、 定期的に作業が必要になる度に思い出すのに手間取ったり、 新しく環境構築することになったりし始めたので、 自分なりに以前色々調べて把握したことを元に、手順をまとめてみました。 構築した環境 CentOS5または6でopensslを使って、/etc/pki配下に自前のSSL環境を作り、 サーバのSSL通信およびクライアント認証を導入しました。 CAは10年、サーバ/クライアントは1年毎に証明書更新することにしまし
Lightsail の Bitnami スタックに SSL 証明書をインストールする
Lightsail でホストされている Bitnami スタックに Let's Encrypt SSL 証明書をインストールするにはどうすればよいですか? 簡単な説明 Bitnami スタックを持つ Lightsail インスタンスでホストされている、ウェブサイト用の標準の Let's Encrypt SSL 証明書をインストールするには、Bitnami の bncert-tool を使用してください。これらのインスタンスブループリントの例としては、WordPress、LAMP、Magento、および MEAN があります。別のインスタンスブループリントを使用している場合、またはワイルドカード証明書 (例えば、*.example.com) をインストールする場合は、次のいずれかを参照してください。 Bitnami スタックのない Lightsail インスタンスの標準の証明書については**
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SSL:クライアント認証
Certbot - Ubuntuxenial Apache